مدیریت ریسک انسانی (Human risk management) ، یک جنبه حیاتی از امنیت سایبری می باشد که بر شناسایی، تجزیه و تحلیل و رسیدگی به خطرات مرتبط با رفتار انسانی مرتبط با فرآیندها و رویه‌های یک سازمان تمرکز دارد. داشتن HRM خوب فقط به معنی استقرار پیشرفته ترین فایروال یا پیچیده ترین رمزگذاری نمی باشد. بلکه بر درک این موضوع که مردم و نیروی کار بخشی جدایی ناپذیر از استراتژی امنیت سایبری یک سازمان هستند ، تاکید دارد.

در هر سازمانی ، وجود یک برنامه جامع آگاهی رسانی امنیت اطلاعات برای آموزش کارکنان از تهدیداتی که ممکن است در محل کار با آن‌ها مواجه شوند، الزامی می باشد . بر اساس یک گزارش در سال 2023، 74 درصد از تمام نقض‌ها شامل خطاهای انسانی می‌شود، چه به صورت نیت مخرب و یا سهل انگاری. بنابراین کارکنان یکی از مهم‌ترین عامل رخنه‌های سایبری می باشند .

در واقع مدیریت ریسک انسانی یا HRM ، کلاس جدیدی از امنیت متمرکز بر کاربر می باشد . HRM به کسب‌وکارها این امکان را می‌دهد تا ریسک سایبری کارکنان خود را درک، کاهش و نظارت کنند .

اولین گام در مدیریت ریسک انسانی، انجام ارزیابی ریسک برای شناسایی عوامل خطر در سازمان است.برای موفقیت، یک تحلیلگر ریسک باید احتمال سوء استفاده از یک آسیب پذیری و تأثیر آن را ارزیابی کند. جهت یافتن منابع تهدید در یک کسب و کار ، تیم عملیات امنیتی باید درگیر کشف اسناد مربوط به حوادث سایبری، اطلاعات تهدیدات و طرح‌های کاهش از ممیزی‌های گذشته باشد. همچنین تیم عملیات امنیتی کاربران را در مورد احتمال نفوذ آزمایش می کند، به عنوان مثال، از طریق تمرین های شبیه سازی فیشینگ. هنگامی که یک ارزیاب این اطلاعات را داشته باشد، می تواند یک ثبت ریسک برای اولویت بندی بالاترین عوامل خطر ایجاد کند.

• ارزیابی آسیب پذیری چیست؟
• حفاظت از ریسک دیجیتال با FortiRecon (DRP)

پس از انجام ارزیابی ریسک، ریسک بحرانی را می توان با آگاهی و آموزش هدفمند و کاهش داد. به عنوان مثال، کارکنان یک سازمان باید از خطرات مرتبط با حملات فیشینگ یا تلاش‌های سرقت هویت که از طریق بردارهای حمله مانند ایمیل‌ها، پیام‌ها و یا تماس‌های تلفنی صورت می گیرد، آگاه شوند. یا آموزش ببینند که اطلاعات حساس را در ایمیل یا تلفن افشا نکنند. اما آگاه کردن یک کارمند از یک تهدید تنها اولین قدم برای محافظت از آنها و سازمانشان است.

اجرای یک برنامه آگاهی رسانی امنیتی نباید به عنوان یک رویداد یکبار تلقی شود. آموزش انطباق سالانه برای تقویت مداوم شیوه های مورد نیاز برای بهداشت سایبری خوب کافی نیست. کارکنان برای درک نحوه واکنش در هنگام مواجهه با تهدید به موارد قابل اجرا نیاز دارند. شرکت ها باید در نظر بگیرند که چگونه می توانند فراتر از یک برنامه آگاهی برای دستیابی به یک برنامه آمادگی بروند. برای مثال، سازمان‌ها می‌توانند دوره‌های آموزشی فصلی یا دوسالانه را انجام دهند و فرصت‌های یادگیری امنیت سایبری را در قالب وبینارها فراهم کنند.

ارزیابی‌های مکرر ریسک نشان می‌دهد که چگونه برخی از عوامل خطر حیاتی تا حد قابل قبولی کاهش یافته‌اند، در حالی که اهمیت برخی دیگر بر اساس تهدیدات جدید افزایش یافته است. کاهش طولانی مدت خطر امنیت انسانی، فرهنگ امنیتی سازمان را متحول می کند.

تاکید بر این نکته ضروری است که امنیت سایبری تنها وظیفه بخش فناوری اطلاعات یا تیم امنیت سایبری نیست، بلکه هر یک از کارکنان موظفند که در جهت ایمن نگه داشتن سازمان تلاش کنند. تغییر فرهنگ امنیتی و روابط عمومی کارکنان مستلزم تلاش مداوم است و دیدن نتایج به زمان نیاز دارد.

برای ایجاد یک فرهنگ امنیتی، تشویق کارکنان به صحبت در هنگام مشاهده فعالیت های سایبری خطرناک و یا مشکوک مهم است. سازمان همچنین می‌توانند کارکنانی که فرهنگ امنیتی را پذیرفته و اجرا می کنند را تشویق و قدردانی نمایند.

یکی دیگر از جنبه های کلیدی مدیریت ریسک انسانی، ردیابی فعالیت های کارکنان است. در حالی که تقویت اعتماد با کارکنان ضروری است، همچنین لازم است تدابیری برای شناسایی اشتباهات یا رفتار بد کارمندان وجود داشته باشد. نرم افزار نظارت بر کارکنان می تواند این رفتار را ردیابی کند و تیم فناوری اطلاعات را در مورد فعالیت مشکوک یا مخاطره آمیز مانند نشت داده ها آگاه کند. ارزیابی‌های دوره‌ای فناوری اطلاعات یا ممیزی‌های فعالیت کارکنان به شناسایی شکاف‌های امنیتی بالقوه یا نقاط ضعف کمک می‌کند. مانند هر نوع ریسک دیگری، باید به طور پیشگیرانه به ریسک انسانی نیز پرداخته شود.

سرمایه گذاری های الزامی

یک برنامه موفق امنیت اطلاعات نیازبه منابع اختصاصی برای توسعه، اجرا و حفظ برنامه دردرازمدت دارد. کارشناسانی که ریسک را درک می کنند و می توانند به طور موثر با سطوح مختلف سازمان ارتباط برقرار کنند . این افراد می توانند مطالب مرتبط با ریسک شناسایی شده و ماموریت و اهداف شرکت را توسعه دهند. همینطور، یک برنامه خوب بدون بودجه نمی تواند شکوفا شود. یک برنامه جامع امنیتی با هدف قرار دادن ریسک حیاتی نیاز به بودجه برای آموزش های آگاهی رسانی ، استقرار نرم افزارها و الزامات کاهش ریسک دارد.

• مدیریت ریسک امنیت اطلاعات چیست؟
• سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟

اگر سازمانی تصمیمات تجاری مبتنی بر ریسک بگیرد، نمی تواند ریسک انسانی را کاهش دهد. انسان ناقل حمله اولیه است. فناوری باید به طور مناسب برای شناسایی و جلوگیری از حوادث امنیتی استفاده شود، اما آموزش افرادی که طعمه آنها می شوند شاید بهترین دفاع در برابر حوادث سایبری باشد. با انجام ارزیابی ریسک، توسعه فرهنگ امنیتی مثبت، آگاهی از فعالیت کارکنان و مدیریت صحیح منابع، سازمان ها می توانند عامل خطر انسانی را کاهش داده و اطلاعات حساس را ایمن نگه دارند.

رفتارهای امنیتی (Security behaviors) :

رفتار امنیتی به اعمال و عاداتی اطلاق می شود که افراد یا سازمان ها برای محافظت از دارایی های دیجیتال و فیزیکی خود در برابر آسیب یا دسترسی غیرمجاز اتخاذ می کنند.

آسیب پذیری :

آسیب پذیری یک ضعف در یک سیستم فناوری اطلاعات است که می تواند توسط مهاجم برای ارائه یک حمله موفق مورد سوء استفاده قرار گیرد. معمولا آسیب پذیریها از طریق نقص‌ها، فیچرها یا خطای کاربر رخ می دهند و مهاجمان به دنبال سوءاستفاده از هر یک از آن‌ها هستند، که اغلب یک یا چند مورد را ترکیب می‌کنند تا به هدف نهایی خود برسند.

نمونه های آسیب پذیری HRM:

• افرادی که از رمز عبور یا عبارت عبور قوی استفاده نمی کنند.
• افرادی که حوادث امنیتی شناخته شده و یا مشکوک را گزارش نمی کنند .
• آسیب پذیری به خودی خود یک خطر نیست، اما آسیب پذیری ممکن است به معنای افزایش ریسک باشد.

تهدید

تهدید امنیت سایبری نوعی تهدید است که شبکه های کامپیوتری، سیستم ها و داده های کاربران را هدف قرار می دهد. این تهدیدها می توانند به شکل بدافزار، فیشینگ و سایر فعالیت های مخرب باشند. تهدیدها می توانند عمدی یا غیرعمدی باشند.

• مهم ترین تهدیدات امنیت سایبری
• تعریف تهدیدات داخلی سایبری

مثال های تهدید HRM:

مجرمانی که از افرادی که رویدادهای شناخته شده یا مشکوک را گزارش نمی کنند با تماس با آنها برای استخراج اطلاعات حساس سوء استفاده می کنند.

افرادی که اطلاعات حساس را به حساب‌های ایمیل شخصی ایمیل می‌کنند تا روی پروژه‌ها در خانه کار کنند.

ریسک :

ریسک احتمال آسیب و یا ضرر است.

در زمینه مدیریت ریسک انسانی، احتمال آسیب و از دست دادن دارایی ها و یا داده ها ناشی از تهدید سایبری مرتبط با کارکنان می باشد.

برای برخی، HRM دو جنبه دارد:

ریسک کاربر محور (کارکنان عمومی)
ریسک متمرکز بر نقش فنی (مهندسان، توسعه دهندگان، معماران سیستم، مدیران سیستم، تکنسین های فناوری اطلاعات و غیره)